The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

27.06.2017 20:07  Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа

Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM.

Всего удалось получить доступ к 15495 учётным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учётным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакеты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадёжных учётных записей. Для усиления защиты NPM запрещено использование словарных и коротких паролей, скоро будет ограничена поддержка "HTTP Basic auth", в более отдалённых планах внедрение двухфакторной аутентификации.

Контроль над 2545 учётными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учётных записях (57112 пакетов) были получены путём сопоставления сведений из крупных публичных утечек баз паролей (когда пользователь использовал идентичные пароли на NPM и взломанных сайтах, базы паролей которых были выложены в открытый доступ). Допуск к 732 учётным записям (4786 пакетов) удалось получить путём варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т.п.). Контроль над оставшимися 120 проблемными учётными записями (582 пакета) был получен через поиск утечек параметров входа в файлах, опубликованных на GitHub (например, вместе с другими файлами загружены .npmrc, config.json, .gitconfig и т.п.).

Некоторые интересные факты:

  • В учётной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
  • Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
  • Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
  • У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";
  • 1409 пользователей (1%) указали в качестве пароля свой логин;
  • 10% пользователей повторно использовали свой заведомо скомпрометированный пароль: 9.7% в изначальном виде, а 0.6% внеся в него незначительное изменение;
  • Трафик всех пакетов, к которым был получен доступ в ходе исследования, составляет почти два миллиарда (1 946 302 172) загрузок в месяц, что примерно 20% от общего объёма загрузок.


  1. Главная ссылка к новости (https://github.com/ChALkeR/not...)
  2. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  3. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  4. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  5. OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
  6. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, анон (?), 20:58, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    вопрос очень простой, а какого черта нет валидации при установке пароля? что за детские болезни?

    а вообще феерично. проверку на сложность пароля никакого нет, так они еще и исследование провели, мол "смотрите какие у нас пользователи тупые, ставят простые пароли".

     
     
  • 2.3, Аноним (-), 21:05, 27/06/2017 [^] [ответить]    [к модератору]
  • +11 +/
    > вопрос очень простой, а какого черта нет валидации при установке пароля? что
    > за детские болезни?

    Главное не переборщить, а то некоторые такую валидацию устроят, что пользователи на бумажке пароль к монитору сразу клеят. Или ещё хуже когда раз в месяц просят менять пароль, тоже гарантированная бумажка и смена через +1 к прошлому паролю. Простые пароли не проблема, проблема предсказуемые и короткие пароли. Как говориться, пять простых слов в пароле гораздо надёжнее 8-символьных паролей типа d4&Gr0N@.

     
     
  • 3.8, gogo (?), 21:13, 27/06/2017 [^] [ответить]    [к модератору]
  • +10 +/
    Бумажка гораздо безопаснее очень многих других способов хранения.
    А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе понятными сокращениями/вариациями/намеками, то один из самых безопасных.
     
     
  • 4.28, пох (?), 00:14, 28/06/2017 [^] [ответить]     [к модератору]
  • +2 +/
    хрен через два-три года не сможешь вспомнить, что тут записано Не благодари ну... весь текст скрыт [показать]
     
     
  • 5.35, gogo (?), 00:56, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...
    Я лично не первый десяток лет пользуюсь таким методом. НИ РАЗУ записанный пароль не забылся  намертво.
     
     
  • 6.51, пох (?), 08:39, 28/06/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    да нет, просто паролей - много, некоторые нужны раз в пару лет, не везде можно в... весь текст скрыт [показать]
     
     
  • 7.57, тоже Аноним (ok), 09:26, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    А что мешает пользоваться длинными, но осмысленными паролями Внезапно, в базах ... весь текст скрыт [показать]
     
     
  • 8.71, Онанимус (?), 13:39, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > ... ни одна из десяти общеизвестных фраз

    Согласен. Сам так делаю и знакомым советую.

     
  • 8.75, rshadow (ok), 14:33, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    А зачем вообще запоминать пароли к сайтам Сгенерил, авторизовался, браузер запо... весь текст скрыт [показать]
     
     
  • 9.82, тоже Аноним (ok), 17:06, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Интернет-банки, например, не дают браузеру запоминать логин и пароль. И правильно делают.
    Ну, и не только для аккаунтов бывают пароли, вообще-то.
     
  • 5.67, freehck (ok), 13:07, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Пффф Просто запомните соль, которую приписываете в конце каждого своего пароля,... весь текст скрыт [показать]
     
  • 3.32, YetAnotherOnanym (ok), 00:49, 28/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Бумажка может и в бумажнике лежать. И - да, лучже пароль на бумажке, который могут видеть трое коллег в комнате, чем 12345.
     
     
  • 4.52, пох (?), 08:43, 28/06/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    камера, в той же комнате, или не в той же раз в бумажнике - значит ты предполаг... весь текст скрыт [показать]
     
  • 2.5, Led (ok), 21:08, 27/06/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    > смотрите какие у нас пользователи тупые

    Как будто другие вэб-макаки бывают?

     
     
  • 3.16, Отражение луны (ok), 22:06, 27/06/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах и бекендах не только к апи для сайтов, но и для аппликух. Будь ты компетентным - не пришлось бы тебе это объяснять.
     
     
  • 4.18, Led (ok), 22:21, 27/06/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    >> Как будто другие вэб-макаки бывают?
    > Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах

    Ок, признаю, был неправ.
    Корректирую:

    Как будто другие вэб-сервисные-не-совсем-в-привычном-понимании-макаки бывают?

    P.S. Кстати, как на латыни правильно пишется этот вид?

     
     
  • 5.20, Аноним (-), 22:37, 27/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/

    > P.S. Кстати, как на латыни правильно пишется этот вид?

    веб-макакус-илитус-нон-вулгарис

     
     
  • 6.22, Аноним (-), 22:39, 27/06/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Хотел было приписать один сапиенс , но вовремя увидел что как бы намекает ... весь текст скрыт [показать]
     
  • 5.80, Добрый анон (?), 15:26, 28/06/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Иронизирующая илитка нарисовалась, как же хорошо Я не понимаю, зачем пытаться... весь текст скрыт [показать]
     
     
  • 6.108, Спрашивающий анон (?), 11:00, 07/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну, внезапно, обычные мартышки появились тоже не просто так, правда Их сформиро... весь текст скрыт [показать]
     
  • 6.109, Спрашивающий анон (?), 11:00, 07/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну, внезапно, обычные мартышки появились тоже не просто так, правда Их сформиро... весь текст скрыт [показать]
     
  • 4.26, Аноним (-), 23:32, 27/06/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    > Нода не совсем о вебе в привычном его понимании.

    Яваскрипт в рот тянут именно бывшие "веберы". И именно им нужна серверная часть именно на яваскрипте. Потому что после последнего курса вуза и десяти лет фриланса зарплату хочется большую (то есть конкурировать с такими же как они раньше школьниками не планируется), а учить второй язык уже, увы, некогда: жена, ребёнок и собственный стартап по платной обфускации js-кода не оставляют свободного времени.

     
     
  • 5.74, Аноним (-), 14:11, 28/06/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Я тяну яваскрипт просто потому, что это лучший язык программирования. Никогда под веб ничего не писал.
     
     
  • 6.78, Аноним (-), 14:49, 28/06/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Чтоб понять, насколько вы адекватны и можно ли доверять вашему мнению, назовите,... весь текст скрыт [показать]
     
  • 5.87, Crazy Alex (ok), 19:43, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Вообще-то один язык там и там - это выгодное решение по куче причин, как технических, так э организационных. Если бы это только не JS был...
     
  • 4.60, Аноним (-), 10:04, 28/06/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Большинство пользователей ноды -- веб-макаки, решившие освоить фулл-стэк И прин... весь текст скрыт [показать]
     
  • 3.33, Anonminus (?), 00:51, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    kernel.org месяцами лежал в maintenance, но макаки при этом npm.
     
     
  • 4.68, Аноним (-), 13:21, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Так это одни и теже макаки :-))
     
  • 2.14, Аноним (-), 21:43, 27/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Надеюсь возможность брутфорса на этом репозитарии пресекается?
     
  • 2.40, Аноним (-), 02:22, 28/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Это же жабаскриптеры, у них в голове при слове security ничего не возникает.
     
  • 2.42, mumu (ok), 05:18, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?
     
     
  • 3.72, Онанимус (?), 13:46, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?

    Легкий для перебора. Перебирают не только посимвольно, но и сочетаниями "квертей".

     
     ....нить скрыта, показать (31)

  • 1.2, A.Stahl (ok), 21:04, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    >установил в качестве нового пароля содержимое старого, добавив к нему символ "!";

    И что в этом не так? Вполне секьюрно. Сомневаюсь, что в словарях есть какой-то там qwerty! или 123456!

     
     
  • 2.25, Crazy Alex (ok), 23:21, 27/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Сто лет как. Банально потому что словари во многом составлены из утёкших реальных паролей, а такого добра там валом.
     
  • 2.48, тоже Аноним (ok), 08:14, 28/06/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    123456! - это очень серьюрный пароль, если его правильно посчитать.
    В базе такого точно нет. Не всякий калькулятор справится...
     
     
  • 3.69, freehck (ok), 13:23, 28/06/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Очень длинный пароль выходит в нём ведь 574965 цифер Задолбаешься вводить Мож... весь текст скрыт [показать]
     
  • 2.107, щи (?), 13:40, 04/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Да я бы сказал, и 1234567 тоже секьюрный пароль, в шестизначной базе его нет. Как нет его и в семифигурной базе окончаний. И набирать удобно - именно по этому принципу и выбираются пароли.
     
  • 1.4, Аноним (-), 21:07, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    npm прочел как rpm. Фух. Мимо.
     
  • 1.6, Константавр (ok), 21:09, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так може они кому "порулить" дают и чтобы если что не оказаться виноватым - ой, у меня пароль взломали! Не зря я их всех ненавидел.
     
  • 1.7, Аноним (-), 21:13, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кодеры пролазят в любые щели. Это только начало.
     
  • 1.9, Виталик (??), 21:15, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    И как уберечься?
    Ну, вот допустим, хочу я поставить глобально какой-то пакет из npm, например create-react-app, как ей ограничить доступ чтоб она не могла украсть файлы с моего диска в случае если там есть скомпрометированная зависимость?
     
     
  • 2.11, Аноним (-), 21:31, 27/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Отдельного пользователя заведи и из-под него работай.
     
  • 2.15, Аноним (-), 22:02, 27/06/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    >И как уберечься?

    Использовать другую платформу?

     
  • 2.17, Аноним (-), 22:20, 27/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    В докер ту ноду вместе с её нпмами, заодно и деплой с самого начала заготовишь
     
  • 2.47, istepan (ok), 08:11, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Основной риск будет на твоих клиентах В библиотеки встроят XSS и все, гуляй вас... весь текст скрыт [показать]
     
  • 1.10, corvuscor (ok), 21:17, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ну блин... хоть peerflix удаляй нафиг...
     
     
  • 2.13, ке (?), 21:38, 27/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Он у меня из нпм только и стоит
     
  • 1.12, Аноним (-), 21:31, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Краткое содержание комментариев к этой новости:
    1. А я говорил!
    2. Эти веб-макаки...
    3. Я таких ошибок никогад не делал, а программировать начал сразу в машинных кодах еще с детского сада...
    4. Ну что с них взять, это же js, вот был бы православный C, не было бы такого!
    5. Прочие виды снобизма
     
     
  • 2.21, Ordu (ok), 22:37, 27/06/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Я бы согласился со снобизмом, если бы не раздел в новости интересные факты Хо... весь текст скрыт [показать]
     
     
  • 3.29, пох (?), 00:20, 28/06/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    или неубедительно объяснили причины а то мы все никак не соберемся озаботиться ... весь текст скрыт [показать]
     
     
  • 4.79, Ordu (ok), 14:50, 28/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Это палка о двух концах Чем сложнее поменять пароль, тем реже и неохотнее польз... весь текст скрыт [показать]
     
     
  • 5.105, пох (?), 09:25, 29/06/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    так менять и не надо вообще Это тоже очередной псевдо-безопасный жупел, когда... весь текст скрыт [показать]
     
     
  • 6.106, Ordu (ok), 15:45, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Может быть Но отсутствие практики смены паролей даст ат... весь текст скрыт [показать]
     
  • 1.19, Аноним (-), 22:31, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    самое смешное что все они верны
     
  • 1.23, Аноним (-), 22:49, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Зачем сразу 2-факторная авторизация?
    Неужто килобайтный ключ вместо паролей - не поможет?
    Персональных данных разве что захотелось собрать...
     
     
  • 2.64, Аноним (-), 10:55, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Во-первых, двухфакторная аутентификация, а не авторизация. Во-вторых, она не обязательно предполагает сбор персональных данных.
     
  • 1.24, pda (?), 23:16, 27/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Гг. Ребята окунулись в реальный мир. До этого всё думали, что в сказку попали...
     
  • 1.27, th3m3 (ok), 00:01, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вот не зря ушёл с Node.js и вернулся на Python.
     
     
  • 2.31, Anonminus (?), 00:35, 28/06/2017 [^] [ответить]     [к модератору]  
  • –5 +/
    А я ушел с Node js на Java Кстати, по бенчмаркам в десятки раз быстрее питона ... весь текст скрыт [показать]
     
     
  • 3.37, th3m3 (ok), 01:16, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Проиграл. Ну хоть не php.
     
     
  • 4.38, Anonminus (?), 01:32, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Проиграл. Ну хоть не php.

    Издеваешься что ли. Даже питон лучше пыха.

     
     
  • 5.45, A.Stahl (ok), 07:57, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Чем лучше-то? Они практически идентичны. Типизация скрыта, управление памятью отсутствует... У РНР хоть синтаксис классический. Потому и "взлетел".
     
     
  • 6.59, Аноним (-), 09:51, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты что с ума сошел? это в похапе синтаксис класный. Да таких укурков еще не видел
     
  • 6.65, th3m3 (ok), 11:31, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    >>Они практически идентичны.

    Опять проиграл. Ребята, с вами и башорг ненужен :)

     
  • 6.84, Anonminus (?), 18:03, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Астахл, я понимаю твои чувства, говорю как человек, который покинул php и попроб... весь текст скрыт [показать]
     
     
  • 7.88, Crazy Alex (ok), 19:50, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    бардак в этом плане - мелочи по сравнению с общиии бедами скриптодинамики на не совсем мелких проектах. Сейчас там Go какой-нибудь надо брать, или JVM для чего побольше. Это если о вебе.
     
  • 2.46, Аноним (-), 08:10, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Да, не зря, раз не различаешь ноду и npm. Они связаны, но не единое целое. И у npm есть альтернативы, либо можно просто не использовать пакетный менеджер и писать/вставлять код самому.
     
     
  • 3.55, пох (?), 09:04, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    угу, весь мир с нуля за недельку создам начиная с leftpad - весь смысл ноды-... весь текст скрыт [показать]
     
  • 3.61, Аноним (-), 10:15, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Альтернативы npm решают только огрехи в принципе резолвинга версий зависимостей ... весь текст скрыт [показать]
     
  • 1.30, Аноним (-), 00:22, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вспомнити npm leftpad!
     
  • 1.34, YetAnotherOnanym (ok), 00:53, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    А что вы хотели от людей, которые возводят в ранг добродетели свою неспособность выучить больше одного языка?
     
     
  • 2.36, Мы (?), 00:57, 28/06/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    От тебя ничего не хотим.
     
  • 1.39, Аноним (-), 02:06, 28/06/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Интересно, из каких побуждений он не желает публиковать полный список Глупая от... весь текст скрыт [показать]
     
     
  • 2.85, Аноним (-), 19:21, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Конкретных людей палить нехорошо, там же написано.
     
  • 1.41, mumu (ok), 05:14, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Хипсторы не умеют в it безопасность
     
     
  • 2.43, Аноним (-), 05:46, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    ...сказал нехипстер, сидя из-под провайдера, хранящего его трафик минимум полгода.
     
     
  • 3.44, mumu (ok), 07:51, 28/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    И сколько полугодий потребуется провайдеру, чтобы расшифровать https рафик, м?
     
     
  • 4.49, rpm (?), 08:19, 28/06/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    Нисколько. Они его и так незашифрованным хранят.
     
     
  • 5.62, Аноним (-), 10:18, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Нисколько. Они его и так незашифрованным хранят.

    Дай угадаю, мало того, что ты хохол, ты ещё и на JS пишешь? Ибо с принципом работы HTTPS ты, судя по всему, не знаком.

     
  • 1.50, odity (ok), 08:32, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А статейка безумно полезная. Прям описание группового поведения приматов. Теперь наглядно можно видеть,как приматы разделяются и их предсказуемость
     
  • 1.53, Меломан1 (?), 08:44, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
    > Всего удалось получить доступ к 15495 учётным записям

    Да кому интересны эти результаты? По удалял бы эти акки и дело с концом.

     
     
  • 2.63, Аноним (-), 10:21, 28/06/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Ты ж помнишь, что после удаления аккаунта можно посоздавать модули с такими же и... весь текст скрыт [показать]
     
  • 1.56, Аноним (-), 09:07, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А без работы всё равно ты, "${username}".
     
  • 1.58, qwerty_qwert1 (?), 09:26, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    ну теперь точно вся надежда на webassemble, придут ребята с большыми ....ками, и похоронят js.  
     
     
  • 2.66, istepan (ok), 11:37, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Один хер инициализация на JS идет. DOM опять же еще не завезли. Печально пока.
     
  • 1.70, wins proxy (?), 13:26, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всё, что надо знать о веб-разработчиках
     
  • 1.73, Аноним (-), 13:57, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Человеческая тупось безгранична.
     
  • 1.83, Ненужно (?), 17:25, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Никогда такого не было и вновь произошло
     
  • 1.86, anomymous (?), 19:31, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    NPM = No Password Management
     
     
  • 2.96, Аноним (-), 21:58, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > NPM = No Password Management

    https://github.com/npm/npm-expansions/blob/master/expansions.txt#L452

     
  • 1.89, Аноним (-), 21:35, 28/06/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А вот это просто неверный перевод И 171 Главная ссылка к новости 187 на агр... весь текст скрыт [показать]
     
     
  • 2.90, Аноним (-), 21:38, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Вот так в оригинале Вот это додумано Перебор модификаций применялся ко всем по... весь текст скрыт [показать]
     
     
  • 3.91, Аноним (-), 21:48, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    И что здесь додумано Ровно то, что в оригинале, with very minor modifications ... весь текст скрыт [показать]
     
     
  • 4.93, Аноним (-), 21:52, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Вот это додумано 0 6 8212 это пользователи, у которых с другого сервиса утё... весь текст скрыт [показать]
     
     
  • 5.97, Аноним (-), 22:01, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Логично, но можно и так и так понять Что именно подразумевалось под reused не ... весь текст скрыт [показать]
     
  • 3.92, Аноним (-), 21:52, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >Перебор модификаций применялся ко всем потенциальным паролям,

    Совсем нет - "reused _their_ leaked passwords"

     
     
  • 4.95, Аноним (-), 21:54, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    _their leaked passwords_ Пароли, утёкшие с других сервисов использовались на npm... весь текст скрыт [показать]
     
  • 2.98, Аноним (-), 22:03, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Ох, ну это вообще трэш Там речь о том, что токены или пароли были запушены чело... весь текст скрыт [показать]
     
     
  • 3.99, Аноним (-), 22:05, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Вы в тесте новости смотрите, а не в левом черновике на форуме.
     
     
  • 4.100, Аноним (-), 22:06, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > Вы в тесте новости смотрите, а не в левом черновике на форуме.

    В смысле?

     
     
  • 5.103, Аноним (-), 22:12, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Актуальный текст на https www opennet ru opennews art shtml num 46768 На https... весь текст скрыт [показать]
     
     
  • 6.104, Аноним (-), 22:16, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Ох. Спасибо, я этого не заметил.

    Я сюда перешёл по ссылке «[смотреть все]» у комментария со страницы новости.

     
  • 4.101, Аноним (-), 22:06, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > Вы в тесте новости смотрите, а не в левом черновике на форуме.

    Я как раз и жалуюсь на то, что вот этот перевод слишком левый.

     
     
  • 5.102, Аноним (-), 22:09, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Вы в тесте новости смотрите, а не в левом черновике на форуме.
    > Я как раз и жалуюсь на то, что вот этот перевод слишком
    > левый.

    Кстати, кажется, поправили. И это хорошо =).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor